Schleiern und schlüsseln

Apropos wp-content: Alle Erweiterungen, Dateiablagen und Themes legt Wordpress gewöhnlich im Ordner wp-content ab. Oft schleusen aber Themes und Plugins eine Sicherheitslücke in das System. Seit Version 2.6 dürfen Sie diesem Ordner daher einen willkürlichen Namen geben und ihn an einer anderen Stelle ablegen. Eine Neuinstallation erledigt das einfach und schnell. Allerdings kann dieser Schritt zu Problemen mit Plugins oder Themes führen, da nicht alle Autoren den Pfad mit Hilfe der von Wordpress bereitgestellten Konstanten und Funktionen abfragen. Um den Ordner neu zu definieren, ändern Sie einfach ein paar Konstanten in der Datei wp-config.php, wie es Listing 1 zeigt.

Listing 1
define('WP_CONTENT_DIR', ABSPATH . 'test'); // wp-content Verzeichnis
define('WP_CONTENT_URL', 'http://example.com/test'); // wp-content URL
define('WP_PLUGIN_DIR', WP_CONTENT_DIR . '/plugins'); // Plugin-Verzeichnis

Seit Version 2.6 von Wordpress gibt es eine neue Möglichkeit, das Backend abzusichern: über den Zugriff via SSL. Die Abkürzung steht für Secure Sockets Layer, dabei handelt es sich um ein Verschlüsselungsprotokoll zur Übertragung von Daten. Unterstützt Ihr Webspace diese Möglichkeit, bedarf es nur einer kleinen Aktivierung in der wp-config.php, um SSL zu aktivieren. Setzen Sie die Konstante FORCE_SSL_LOGIN auf true, überträgt Wordpress von nun an alle Daten im Backend verschlüsselt.

Bestehende Installationen

Bisher haben Sie erfahren, wie Sie eine neue Installation schützen, indem Sie Angreifern den Zugriff auf die Standards erschweren. Aber auch bestehende Blogs sichern Sie mit einigen Handgriffen ab – ganz ohne den Einsatz von Sicherheitsplugins.

Der Benutzername der Standardinstallation lautet wenig einfallsreich admin – wie jedermann weiß. Nach einer Installation sollten Sie diesen Nutzer löschen und einen neuen Administrator anlegen. Das erledigen Sie einfach im Administrationsbereich, tunlichst bereits nach dem ersten Login. Damit ändern Sie nicht nur den Nutzernamen, sondern auch die zugehörige ID, die Wordpress automatisch vergibt – zwei Komponenten, die Angreifern andernfalls das Leben erleichtern.

Möchten Sie sehr große Werte für die ID verwenden, erweisen sich händische Änderungen im Backend als sehr aufwändig. Wordpress zählt bei jedem neuen Nutzer schlicht um Eins hoch. Besser ändern Sie diesen Wert mit einem SQL-Statement wie in Listing 2. Alternativ setzen Sie das Plugin Suchen & Ersetzen[3] ein.

Listing 2
UPDATE `wp_usermeta` SET `user_id` = '815' WHERE `wp_usermeta`.`user_id` = 1;
UPDATE `wp_posts` SET `post_author` = '815' WHERE `wp_posts`.`post_author` = 1;
UPDATE `wp_links` SET `link_owner` = '815' WHERE `wp_links`.`link_owner` = 1;

Seine Versionsnummer gibt Wordpress an vielen Stellen aus – im Backend, in den Feeds und im Theme. Jede Version hat spezifische Eigenarten und Fehler, daher sollten Sie Fremden keine Informationen über Ihre Wordpress-Installation geben. Die einfachste Form, die Version aus allen Bereichen zu entfernen, stellt die Nutzung des Plugins Secure WordPress[2] dar. Lediglich das Backend muss die Versionsnummer kennen, weil neben Wordpress selbst auch einige Plugins diese Information benötigen.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 12/2017: Perfekte Videos

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Fernstudium Informatik
Joe Cole, 12.12.2017 10:36, 1 Antworten
Hallo! habe früher als ich 13 Jahre angefangen mit HTML und später Java zu programmieren. Weit...
Installation Linux mint auf stick
Reiner Schulz, 10.12.2017 17:34, 1 Antworten
Hallo, ich hab ein ISO-image mit Linux Mint auf einem Stick untergebracht Jetzt kann ich auch...
Canon Maxify 2750 oder ähnlicher Drucker
Hannes Richert, 05.12.2017 20:14, 4 Antworten
Hallo, leider hat Canon mich weiterverwiesen, weil sie Linux nicht supporten.. deshalb hier die...
Ubuntu Server
Steffen Seidler, 05.12.2017 12:10, 1 Antworten
Hallo! Hat jemand eine gute Anleitung für mich, wie ich Ubuntu Server einrichte? Habe bisher...
Tinte sparen bei neuem Drucker
Lars Schmitt, 30.11.2017 17:43, 2 Antworten
Hi Leute, ich habe mir Anfang diesen Monats einen Tintenstrahldrucker angeschafft, der auch su...